从我们记忆以来，恶意软件就一直存在问题。然而，它相对于越来越多的黑客通过脆弱的网络应用程序服务器窃取如山的机密信息而言很快就相形见绌了。

　　为什么网络应用应用程序服务器成为攻击的目标？是因为它们可以被公开访问并和存储着对罪犯来说是金库数据的后台数据库服务器连接。攻击者如何通过前台的网络应用程序进攻到后台数据库服务器？以下是几个最流行的方法。

　　SQL注入

　　SQL注入攻击正在成为互联网上偷窃机密信息的一个热门方法。一个SQL注入包含一位攻击者在Web表单的查询范围内输入一个SQL查询 。如果这个查询被Web应用程序接受并获得对数据库服务器的读/写访问权限，它就会到达后台数据库并执行。这可能导致两种情况；攻击者浏览到数据库的内容，或删除数据库的内容。这两种情况都是不好的。

　　和大家普遍认为的相反， SQL注入攻击并不需要先进的知识。大体上来说，这些攻击可以由任何人一个对SQL有一些基本了解和从互联网上获得了一个查询清单的人来实施。

　　盲目SQL注入

　　盲目的SQL注入是发起攻击的另一种方法，但做法略有不同。当执行一个标准的SQL注入，攻击者会插入一条SQL查询到一个Web应用程序中，希望这能导致服务器返回一个错误消息。这些错误消息可以给攻击者进行更精确的攻击提供必要的知识。数据库管理员一直误以为，消除了错误信息提示就更正了由SQL注入导致的潜在事件。数据库管理员未能意识到的是，虽然这掩盖了错误信息，但是该漏洞仍然存在。虽然对攻击者来说有些艰难，但是除了利用错误消息来收集信息，他们更倾向于给服务器盲目发送一些有点小技巧的SQL查询，希望能够访问到该数据库。

　　跨站点脚本攻击

　　跨站点脚本攻击，也称为XSS或CSS ，是一种恶意黑客用来攻击提供动态网页的web应用程序的漏洞的技术。今天的许多网站都提供了动态网页，这些网页包含了为用户建立的‘正在进行中’的多种信息来源。如果网站管理员不小心，恶意内容就可以注入网页去收集机密材料或者简单的在用户系统里执行。

　　对策

　　有许多对策可以阻止对Web应用服务器的攻击。意识无疑是其中最重要的。许多组织正在把重点放在预防措施上，即使不致力于了解攻击到底是怎么执行的，这些预防措施也该应用上。不理解Web应用程序服务器攻击的原理使得对策不能产生预期的效果，对于SQL注入攻击，简单地依靠防火墙和入侵防御系统将无济于事。例如，如果您的Web应用程序服务器没有过滤用户输入，将很容易受到如上所述类型的攻击。

　　另一个走在攻击者前面的关键点是定期对您的web应用程序进行彻底的审计。